概要

多くの企業では、アイデンティティプログラムがワークを評価する方法としてITチケットと同じように量や音量、または「コントロールチェックに失敗した」という基準を使用しています。しかし、環境が主に人間から自動化されたシステムへと移行すると、このアプローチは機能しなくなります。

現代の企業では、アイデンティティリスクは制御ポジション、衛生状態、ビジネスコンテキスト、意図など複合的な要因によって作られます。これらの要素それぞれが個別に管理可能であるかもしれませんが、それらが組み合わさると重大な危険性をもたらします。

制御ポジション

制御ポジションはリスク信号として機能し、チェックボックスではなくなります。具体的には:

• 認証とセッションコントロール：MFA、SSOの強制、セッション/トークンの有効期限、リフレッシュ制御、ログインレート制限、ロックアウト。
• 資格情報およびシークレット管理：クリアテキスト/ハードコーディングされた資格情報を避ける、強力なハッシング、安全なIdPの使用、適切なシークレットローテーション。
• 権限とアクセスコントロール：強制的なアクセス制御、ログインおよび認証試行の監査、SSOフローのための安全なリダイレクト/コールバック。
• プロトコルおよび暗号化コントロール：業界標準のプロトコルを使用し、レガシープロトコルを避ける。

これらの制御が欠けている場合でも、それがどのアイデンティティを保護しているかによってリスクは異なります。重要なシステムに接続されているアイデンティティでは、MFAの欠如は重大な問題となります。

アイデンティティ衛生

攻撃者は無視されたアイデンティティを好む傾向があります。これは保護が弱く、監視が不足しており、過剰な権限を持つ可能性が高いからです。

• ローカルアカウント：セントラルポリシー（SSO/MFA/条件付きアクセス）をバイパスする。
• オーファンアカウント：所有者が不明なため、不正使用が見逃されやすく、クリーンアップも行われません。
• 休眠アカウント：「未使用」とは安全とは限りません。監視が不足している可能性があります。

ビジネスコンテキスト

セキュリティチームはしばしば技術的な深刻度だけで優先順位を決定しますが、これは不十分です。ビジネスコンテキストでは:

• アプリケーションやワークフローの重要性：収益、運用、顧客信頼。
• データの機密性：個人情報（PII）、医療情報（PHI）、財務データなど。

これらの要素が組み合わさると、リスクは非線形に増大します。高深刻度のシステムよりも低影響のシステムで発生した問題の方が重大な場合があります。

ユーザー意図

アイデンティティプログラムでは、ユーザーが現在何をしようとしているのか、それが目的と一致しているかを評価することが重要です。異常な行動や時間ベースのアノマリーは、ユーザーの意図を推測する重要な信号となります。

毒性の組み合わせ

リスクが非線形に増大する場合があります。例えば:

• オーファンアカウント + MFA欠如：容易な標的。
• ローカルアカウント + 資格情報の露出：タイムセンシティブなリスク。

これらの毒性の組み合わせは、優先度が高くなるべきです。

---

元記事: https://thehackernews.com/2026/02/identity-prioritization-isnt-backlog.html